Configurar un servidor L2TP/IPsec detrás de un dispositivo NAT-T

En este artículo se describe cómo configurar un servidor L2TP/IPsec detrás de un dispositivo NAT-T.

Se aplica a:   Windows 10: todas las ediciones, Windows Server 2012 R2
Número KB original:   926179

Resumen

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer una copia de seguridad y restaurar el Registro, vea How to back up and restore the registry in Windows.

De forma predeterminada, Windows Vista y Windows Server 2008 no admiten asociaciones de seguridad de traducción de direcciones de red (NAT) traversal (NAT-T) de protocolo de Internet para servidores ubicados detrás de un dispositivo NAT. Si el servidor de red privada virtual (VPN) está detrás de un dispositivo NAT, un equipo cliente vpn basado en Windows Vista o Windows Server 2008 no puede realizar una conexión de protocolo de túnel de nivel 2 (L2TP) o IPsec al servidor VPN. Este escenario incluye servidores VPN que ejecutan Windows Server 2008 y Windows Server 2003.

Debido a la forma en que los dispositivos NAT traducen tráfico de red, es posible que experimentes resultados inesperados en el siguiente escenario:

  • Colocas un servidor detrás de un dispositivo NAT.
  • Se usa un entorno NAT-T de IPsec.

Si debe usar IPsec para la comunicación, use direcciones IP públicas para todos los servidores a los que pueda conectarse desde Internet. Si debe colocar un servidor detrás de un dispositivo NAT y, a continuación, usar un entorno NAT-T de IPsec, puede habilitar la comunicación cambiando un valor del Registro en el equipo cliente VPN y el servidor VPN.

Establecer clave del Registro AssumeUDPEncapsulationContextOnSendRule

Para crear y configurar el valor del Registro AssumeUDPEncapsulationContextOnSendRule, siga estos pasos:

  1. Inicie sesión en el Windows cliente de Vista como un usuario que sea miembro del grupo Administradores.

  2. Seleccione Iniciar todos los programas > > Accesorios > Ejecutar, escriba regedit y, a continuación, seleccione Aceptar. Si el cuadro de diálogo Control de cuentas de usuario se muestra en la pantalla y le pide que eleve el token de administrador, seleccione Continuar.

  3. Busque la siguiente subclave del Registro y selecciónela:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Nota

    También puede aplicar el valor DWORD AssumeUDPEncapsulationContextOnSendRule a un equipo cliente VPN basado en Microsoft Windows XP Service Pack 2 (SP2). Para ello, busque y, a continuación, seleccione la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec subclave del Registro.

  4. En el menú Editar, elija Nuevo y, a continuación, seleccione DWORD (32 bits) Valor.

  5. Escriba AssumeUDPEncapsulationContextOnSendRule y presione ENTRAR.

  6. Haga clic con el botón secundario en AssumeUDPEncapsulationContextOnSendRule y, a continuación, seleccione Modificar.

  7. En el cuadro Datos de valor, escriba uno de los siguientes valores:

    • 0

      Es el valor predeterminado. Cuando se establece en 0, Windows establecer asociaciones de seguridad con servidores ubicados detrás de dispositivos NAT.

    • 1

      Cuando se establece en 1, Windows establecer asociaciones de seguridad con servidores ubicados detrás de dispositivos NAT.

    • 2

      Cuando se establece en 2, Windows puede establecer asociaciones de seguridad cuando tanto el servidor como el equipo cliente VPN (basado en Windows Vista o Windows Server 2008) están detrás de dispositivos NAT.

  8. Seleccione Aceptar y, a continuación, salga del Editor del Registro.

  9. Reinicie el equipo.